华为云安全配置基线指南的标准合规包(level 1)
本文为您介绍华为云安全配置基线指南的标准合规包(level 1)的应用场景以及合规包中的默认规则。
应用场景
华为云安全配置基线指南为您提供重要云服务的基线配置指导,开启云上服务安全建设的第一步,更多信息见华为云信任中心。
免责条款
本合规规则包模板为您提供通用的操作指引,帮助您快速创建符合目标场景的合规规则包。为避免疑义,本“合规”仅指资源符合规则定义本身的合规性描述,不构成任何法律意见。本合规规则包模板不确保符合特定法律法规或行业标准的要求,您需自行对您的业务、技术操作的合规性和合法性负责并承担与此相关的所有责任。
默认规则
此表中的建议项编号对应华为云安全配置基线指南文档的章节编号,供您查阅参考。
| 建议项编号 | 建议项说明 | 合规规则 | 规则中文名称 | 涉及云服务 | 规则描述 |
|---|---|---|---|---|---|
| C.CS.FOUNDATION.G_1.R_1 | 确保管理员账号禁用 AK/SK | iam-root-access-key-check | 根用户存在可使用的访问密钥 | iam | 根用户存在可使用的访问密钥,视为“不合规” |
| C.CS.FOUNDATION.G_1.R_2 | 确保管理员账号已启用 MFA | root-account-mfa-enabled | 根用户开启MFA认证 | iam | 根用户未开启MFA认证,视为“不合规” |
| C.CS.FOUNDATION.G_1.R_14 | 确保不创建允许“*:*”管理权限的 IAM 策略 | iam-policy-no-statements-with-admin-access | IAM策略不具备Admin权限 | iam | IAM自定义策略具有allow的全部云服务的全部权限(*:*:*或*:*或*),视为“不合规” |
| C.CS.FOUNDATION.G_2.R_1 | 启用 CTS | multi-region-cts-tracker-exists | 在指定区域创建并启用CTS追踪器 | cts | 账号未在指定region列表创建并启用CTS追踪器,视为“不合规” |
| C.CS.FOUNDATION.G_2.R_15 | 开启日志文件完整性校验 | cts-support-validate-check | CTS追踪器打开事件文件校验 | cts | CTS追踪器未打开事件文件校验,视为“不合规” |
| C.CS.FOUNDATION.G_3_3.R_1 | 禁止使用 CCE 已经 EOS 的 K8S 集群版本 | cce-cluster-end-of-maintenance-version | CCE集群版本为处于维护的版本 | cce | CCE集群版本为停止维护的版本,视为“不合规” |
| C.CS.FOUNDATION.G_3_3.R_6 | 集群节点不要暴露到公网 | cce-endpoint-public-access | CCE集群资源不具有弹性公网IP | cce | CCE集群资源具有弹性公网IP,视为“不合规” |
| C.CS.FOUNDATION.G_4.R_1 | 确保限制 SSH 的 Internet 公网访问 | vpc-sg-restricted-ssh | 安全组入站流量限制SSH端口 | vpc | 当安全组入方向源地址设置为0.0.0.0/0或::/0,且开放TCP 22端口,视为“不合规” |
| C.CS.FOUNDATION.G_4.R_4 | 确保安全组不允许源地址 0.0.0.0/0 访问远程管理端口及高危端口 | vpc-sg-restricted-common-ports | 安全组入站流量限制指定端口 | vpc | 当安全组的入站流量不限制指定端口的所有IPv4地址(0.0.0.0/0)或所有IPv6地址(::/0),视为“不合规” |
| C.CS.FOUNDATION.G_5_1.R_2 | 禁用匿名访问 | obs-bucket-policy-not-more-permissive | OBS桶策略授权约束 | obs | OBS桶策略授权了控制策略以外的访问行为,视为“不合规” |
| C.CS.FOUNDATION.G_5_1.R_5 | 使用桶策略限制对 OBS 桶的访问必须使用 HTTPS 协议 | obs-bucket-ssl-requests-only | OBS桶策略授权行为使用SSL加密 | obs | OBS桶策略授权了无需SSL加密的行为,视为“不合规” |
| C.CS.FOUNDATION.G_6_1.R_1 | 开启加密通信 | rds-instance-ssl-enable | RDS实例启用SSL加密通讯 | rds | RDS实例未启用SSL加密通讯,视为“不合规” |
| C.CS.FOUNDATION.G_6_1.R_5 | 避免绑定 EIP 直接通过互联网访问 | rds-instance-no-public-ip | RDS实例不具有弹性公网IP | rds | RDS资源具有弹性公网IP,视为“不合规” |
| C.CS.FOUNDATION.G_6_2.R_1 | 开启加密通信 | dds-instance-enable-ssl | DDS实例开启SSL | dds | DDS实例未开启SSL,视为“不合规” |
| C.CS.FOUNDATION.G_6_2.R_7 | 禁止使用默认端口 | dds-instance-port-check | DDS实例端口检查 | dds | DDS实例的端口包含被禁止的端口,视为“不合规” |
| C.CS.FOUNDATION.G_6_2.R_8 | 补丁升级 | dds-instance-engine-version-check | DDS实例数据库版本检查 | dds | 低于指定版本的DDS实例,视为“不合规” |
| C.CS.FOUNDATION.G_6_3.R_2 | 开启备份功能设置合理的备份策略 | rds-instance-enable-backup | RDS实例开启备份 | rds | 未开启备份的rds资源,视为“不合规” |
| C.CS.FOUNDATION.G_6_3.R_4 | 禁止使用默认端口 | rds-instance-port-check | RDS实例默认端口检查 | rds | RDS实例的端口包含被禁止的端口,视为“不合规” |
| C.CS.FOUNDATION.G_6_3.R_8 | 数据库版本更新到最新版本 | rds-instance-engine-version-check | RDS实例数据库引擎版本检查 | rds | RDS实例数据库引擎的版本低于指定版本,视为“不合规” |
| C.CS.FOUNDATION.G_7_2.R_1 | 开启 Kerberos 认证 | mrs-cluster-kerberos-enabled | MRS集群开启kerberos认证 | mrs | MRS集群未开启kerberos认证,视为“不合规” |
| C.CS.FOUNDATION.G_7_2.R_3 | 集群 EIP 安全组管控 | mrs-cluster-no-public-ip | MRS集群未绑定弹性公网IP | mrs | MRS集群绑定弹性公网IP,视为“不合规” |
| C.CS.FOUNDATION.G_7_2.R_3 | 集群 EIP 安全组管控 | mrs-cluster-in-vpc | MRS集群属于指定VPC | mrs | 指定虚拟私有云ID,不属于此VPC的mrs资源,视为“不合规” |
| C.CS.FOUNDATION.G_7_3.R_6 | 开启 SSL 加密传输功能 | dws-enable-ssl | DWS集群启用SSL加密连接 | dws | DWS集群未启用SSL加密连接,视为“不合规” |
| C.CS.FOUNDATION.G_8.R_1 | 启用 Web 应用防火墙功能 | waf-instance-enable-protect | 启用WAF实例域名防护 | waf | 如果账号未配置并启用WAF防护策略的域名防护,视为“不合规” |
| C.CS.FOUNDATION.G_8.R_2 | 配置 WAF 地理位置访问策略 | waf-policy-enable-geoip | 启用WAF防护策略地理位置访问控制规则 | waf | 如果账号不存在启用地理位置访问控制规则的waf服务防护策略,视为“不合规” |
| C.CS.FOUNDATION.G_8.R_5 | 启用 WAF 对 Web 基础防护的拦截模式 | waf-instance-enable-block-policy | 启用WAF实例启用拦截模式防护策略 | waf | WAF实例未启用拦截模式防护策略,视为“不合规” |
| C.CS.FOUNDATION.G_8.R_7 | 启用企业主机安全 HSS(基础版/专业版/企业版/旗舰版) | ecs-attached-hss-agents-check | ECS资源绑定服务主机代理防护 | ecs | ECS实例未绑定HSS代理并启用防护,视为“不合规” |
